Подключение Kerio Control и Ideco NGFW по IPsec
По шагам статьи можно объединить сети Kerio Control и Ideco NGFW по IPsec в Туннельном режиме с использованием PSK.
Last updated
По шагам статьи можно объединить сети Kerio Control и Ideco NGFW по IPsec в Туннельном режиме с использованием PSK.
Last updated
Объединяемые локальные сети не должны пересекаться!
1. По умолчанию Kerio Control использует IKEv1 для создания подключений к сторонним устройствам. Включить IKEv2 можно через консоль, выполнив действия:
Подключиться к Kerio Control по SSH;
Перейти в папку /var/winroute;
Открыть на редактирование файл winroute.cfg;
В нем найти раздел, начинающийся с текста <table name="Firewall">;
В этом разделе найти строку <variable name="IKEVersion">ikev1</variable> и изменить в ней ikev1 на ikev2;
После этого требуется перезагрузить сервер и убедиться, что изменения в настройках сохранились.
2. В разделе Правила трафика разрешите трафик VPN-служб.
1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Исходящие подключения.
2. Добавьте новое подключение и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec подключения;
Режим работы - выберите Туннельный;
Адрес удаленного устройства - укажите внешний IP-адрес Kerio Control;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;
Домашние локальные сети - выберите локальную сеть Ideco NGFW, которая будет видна из подсети Kerio Control;
Удаленные локальные сети - укажите локальную сеть Kerio Control, которая будет видна из подсети Ideco NGFW;
Тип аутентификации - выберите тип PSK;
PSK-ключ - укажите PSK-ключ, который будет использоваться для подключения;
Тип идентификатора - выберите auto;
Идентификатор NGFW - укажите IP-адрес внешнего интерфейса Ideco NGFW, который будет использоваться для подключения:
Важно! Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интрефейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.
3. Сохраните созданное подключение, затем активируйте подключение, нажав на иконку включения в столбце Управление.
Настройка завершена, теперь переходим к настройке Kerio Control.
1. Перейдите в раздел Интерфейсы и нажмите Добавить. В раскрывшемся списке выберите VPN-туннель....
2. Откроется окно создания подключения. В нем выберите:
Тип - IPsec;
Имя - произвольное;
Включить данный туннель;
Тип Пассивное;
Предопределенный ключ - введите PSK-ключ, который был указан при создании подключения на Ideco NGFW;
Локальный ИД - укажите IP-адрес внешнего интерфейса Kerio, который будет использоваться для подключения;
Отдаленный ИД - укажите IP-адрес внешнего интерфейса Ideco NGFW;
Под заданием шифров нажмите на Изменить и задайте шифры, как на скриншоте:
Пример итоговых настроек:
3. Перейдите в раздел Удаленные сети, нажмите на кнопку Добавить и введите сведения о локальной сети Ideco NGFW, которая будет видна из подсети Kerio Control.
4. В разделе Локальные сети настройте сети, которые будут видны из подсети Ideco NGFW, вручную.
5. После добавление нового интерфейса нажмите на кнопку Применить. Подключение успешно установится, информация об этом отобразится в таблице:
1. Перейдите в раздел Интерфейсы и нажмите Добавить. В раскрывшемся списке выберите VPN-туннель....
2. Откроется окно создания подключения. В нем выберите:
Тип - IPsec;
Имя - произвольное;
Включить данный туннель;
Выберите тип Активное и в поле под ним пропишите IP-адрес внешнего интерфейса Ideco NGFW, который будет использоваться для подключения;
Предопределенный ключ - введите PSK-ключ, который будет использоваться для подключения;
Локальный ИД - укажите ключ, который будет задан в поле Идентификатор NGFW при настройке входящего подключения на Ideco NGFW, или IP-адрес внешнего интерфейса Kerio, который будет использоваться для подключения. Предпочтительное значение - имя хоста Kerio;
Отдаленный ИД - укажите IP-адрес внешнего интерфейса Ideco NGFW, который будет использоваться для подключения;
Под заданием шифров нажмите на Изменить и задайте шифры, как на скриншоте:
Пример итоговых настроек:
3. Перейдите в раздел Удаленные сети, нажмите на кнопку Добавить и введите сведения о локальной сети Ideco NGFW, которая будет видна из подсети Kerio Control.
4. В разделе Локальные сети настройте сети, которые будут видны из подсети Ideco NGFW, вручную.
5. После добавление нового интерфейса нажмите на кнопку Применить. Подключение успешно установится, информация об этом отобразится в таблице.
1. В веб-интерфейсе Ideco NGFW откройте вкладку Сервисы -> IPsec -> Входящие подключения.
2. Добавьте новое подключение и заполните поля:
Название подключения - укажите произвольное имя для подключения. Значение не должно быть длиннее 42 символов;
Зона - укажите зону для добавления IPSec подключения;
Режим работы - выберите Туннельный;
IP-адрес интерфейса туннеля - укажите IP-адрес интерфейса туннеля. Поле необязательное, заполняется при настройке BGP-соседства для динамической маршрутизации и для получения статистики обмена пакетами;
Удаленный IP-адрес туннеля - укажите IP-адрес интерфейса туннеля удаленной стороны. Поле необязательное, заполняется для получения статистики обмена пакетами;
Домашние локальные сети - выберите локальную сеть Ideco NGFW, которая будет видна из подсети Kerio Control;
Удаленные локальные сети - укажите локальную сеть Kerio Control, которая будет видна из подсети Ideco NGFW;
Тип аутентификации - выберите тип PSK;
PSK-ключ - введите PSK-ключ, который был указан при создании подключения в Kerio;
Тип идентификатора - выберите auto;
Идентификатор удаленной стороны - укажите Локальный ИД, указанный при настройке исходящего подключения на Kerio.
Важно! Для получения статистики о потере пакетов, средней задержке и джиттере заполните поля IP-адрес интрефейса туннеля и Удаленный IP-адрес туннеля. Они должны находиться в одной подсети.
3. Сохраните созданное подключение, затем активируйте подключение, нажав на иконку включения в столбце Управление.
Настройка завершена.
При возникновении проблем обратите внимание на настройки файрвола Kerio Control.
